在美國,任何方面的緊急情況都可以撥打911,民眾對警察的依賴(lài)性也非常大,所以911報警電話(huà)對美國人民的重要性不言而喻。但是,一種可讓911癱瘓的新型攻擊已經(jīng)出現,美國幾位專(zhuān)家的研究解釋了攻擊者如何利用系統的漏洞發(fā)動(dòng)攻擊,證明了這些攻擊可以對公共安全產(chǎn)生極其嚴重的影響。
近年來(lái),人們對一種稱(chēng)為“拒絕服務(wù)”的網(wǎng)絡(luò )攻擊有了越來(lái)越多的了解,該種攻擊可以導致網(wǎng)站流量超出負荷——流量通常由大量被黑客劫持并互相感染的計算機產(chǎn)生。這種情況一直在發(fā)生,并對金融機構、娛樂(lè )公司、政府機構乃至關(guān)鍵的互聯(lián)網(wǎng)路由服務(wù)造成了影響。
可以對911呼叫中心發(fā)起類(lèi)似的攻擊。今年10月,一名18歲的黑客在亞利桑那州通過(guò)智能手機首次進(jìn)行了此種攻擊并因此被逮捕,他被指控針對本地911服務(wù)進(jìn)行了電話(huà)拒絕服務(wù)攻擊。要防止此類(lèi)事件在更多地方發(fā)生,就需要了解911系統如何工作,及弱點(diǎn)在哪里——包括技術(shù)和政策方面。
了解拒絕服務(wù)
計算機網(wǎng)絡(luò )有能力限制——其一次只能處理有限的流量和連接。如果超過(guò)負荷,新的連接便無(wú)法建立,電話(huà)線(xiàn)也是同樣的道理。
因此,如果攻擊者能夠用惡意流量占用所有可用的連接,那么合法的信息(比如人們正常瀏覽網(wǎng)站或在真正的緊急情況下?lián)艽?11)便無(wú)法通行。
這種類(lèi)型的攻擊最常用的攻擊方式是,將惡意軟件傳播到大量計算機上,感染計算機,然后遠程控制計算機。也能以這種方式劫持智能手機(相當于小型計算機)。然后攻擊者便可讓惡意軟件用海量流量淹沒(méi)特定網(wǎng)站或電話(huà)號碼,使其癱瘓。
很多互聯(lián)網(wǎng)公司已經(jīng)采取了重大措施來(lái)防止這種在線(xiàn)攻擊。比如,谷歌公司使用GoogleShield服務(wù)保護新聞網(wǎng)站免受攻擊——使用谷歌龐大的互聯(lián)網(wǎng)服務(wù)器網(wǎng)絡(luò )過(guò)濾掉攻擊流量,只放行合法連接。但是電話(huà)公司沒(méi)有采取類(lèi)似的行動(dòng)。
認識911電話(huà)系統
1968年之前,美國各地采用自己的緊急服務(wù)電話(huà)號碼。人們必須撥打特定的號碼請求火警、警察或救護車(chē)服務(wù),或者可以撥打“0”接通接線(xiàn)員,由接線(xiàn)員幫其轉接。但是,這是不方便且危險的——人們記不住正確的號碼,或因為人們只是訪(fǎng)問(wèn)某地區,所以不知道該地區的號碼。
911系統作為一個(gè)更加通用和有效的系統便應用而生。911呼叫者與稱(chēng)為公共安全應答點(diǎn)的專(zhuān)門(mén)呼叫中心連接,該呼叫中心負責從呼叫者獲得信息并分派適當的緊急服務(wù)。
這些呼叫中心位于全國各地的社區,每個(gè)都為特定地理區域提供服務(wù)。有些服務(wù)于個(gè)別城市,有些服務(wù)于更廣泛的區域。當電話(huà)客戶(hù)通過(guò)固定電話(huà)或移動(dòng)電話(huà)撥打911時(shí),電話(huà)公司的系統將呼叫轉接到合適的呼叫中心。
為了更好地了解拒絕服務(wù)攻擊如何影響911呼叫系統,美國的這幾位專(zhuān)家創(chuàng )建了北卡羅來(lái)納州911基礎設施的詳細計算機模擬,及整個(gè)美國緊急呼叫系統的通用模擬。
調查攻擊的影響
在建立模擬之后,他們進(jìn)行攻擊,以了解系統有多脆弱。他們發(fā)現,僅感染6000(這一數量?jì)H是該州人口的0.0006%)部手機便可顯著(zhù)降低911服務(wù)的可用性。
僅使用這一相對較少數量的電話(huà),就可以有效阻止來(lái)自北卡羅來(lái)納州20%的固定電話(huà)呼叫者和一半的手機客戶(hù)。在他們的模擬中,即使人們回撥四五次也不能接通911接線(xiàn)員獲得幫助。
在全國,同樣的百分比(即只需劫持20萬(wàn)部智能手機)可產(chǎn)生類(lèi)似的效果。但在某種意義上,這是一個(gè)保守的結果。美國國家緊急電話(huà)協(xié)會(huì )政府事務(wù)總監Trey Forgety在《華盛頓郵報》中回應了這些專(zhuān)家的研究結果,他稱(chēng),“我們實(shí)際上認為,漏洞實(shí)際上比研究人員計算的更嚴重。”
政策使威脅更甚
如果在發(fā)生惡意呼叫時(shí)可以識別并加以阻止,那么就可以讓此類(lèi)攻擊不那么有效。移動(dòng)電話(huà)具有兩種不同類(lèi)型的識別信息。IMSI(國際移動(dòng)用戶(hù)識別碼)是一個(gè)人要接通某電話(huà)所須撥打的電話(huà)號碼。IMEI(國際移動(dòng)識別碼)用于跟蹤網(wǎng)絡(luò )上的特定物理設備。
可以設置防御系統來(lái)識別來(lái)自在給定時(shí)間段內進(jìn)行了超過(guò)一定數量的911呼叫(例如在過(guò)去兩分鐘內進(jìn)行了多于10次的呼叫)的特定電話(huà)的911呼叫。
但這提出了倫理問(wèn)題——如果是真實(shí)的、持續的緊急情況,而有人在與調度員談話(huà)時(shí)不斷失去信號,這種情況該怎么辦?如果他們回撥太多次,他們的呼救會(huì )被阻止嗎?在任何情況下,接管了大量手機的攻擊者都可以通過(guò)讓其劫持的手機降低呼叫頻率并通過(guò)讓更多的個(gè)人電話(huà)呼叫來(lái)規避這種防御。
但是,確保公眾可以獲得緊急服務(wù)的聯(lián)邦規則意味著(zhù)這個(gè)問(wèn)題可能無(wú)解。聯(lián)邦通信委員會(huì )(FCC)1996年的一項命令要求移動(dòng)電話(huà)公司將所有911呼叫直接轉給緊急調度員。不允許手機公司檢查正在致電的電話(huà)是否擁有已付費的活躍賬戶(hù)。他們甚至不能檢查手機是否安裝有SIM卡。FCC的規則很簡(jiǎn)單:如果任何人在移動(dòng)電話(huà)上撥打911,那么必須將其連接到緊急呼叫中心。
從公共安全的角度而言,這條規則無(wú)可非議:如果某人正在經(jīng)歷(或見(jiàn)證)威脅生命的緊急情況,那么不應該因為他們沒(méi)有支付自己的手機賬單或者碰巧沒(méi)有活躍賬戶(hù)就被阻止尋求幫助。
但這一規則在系統中打開(kāi)了一個(gè)攻擊者可以利用的漏洞。一個(gè)經(jīng)驗豐富的攻擊者可以感染一個(gè)電話(huà),讓電話(huà)撥打911,但讓電話(huà)報告未安裝SIM卡。這個(gè)“匿名”電話(huà)報告沒(méi)有身份、沒(méi)有電話(huà)號碼及沒(méi)有擁有者信息。電話(huà)公司和911呼叫中心都無(wú)法在不阻止合法的呼叫求助的情況下阻止該呼叫。
現有的或可能的對策困難重重且有很大缺陷。其中很多涉及阻止某些設備呼叫911,這具有阻止合法呼叫求助的風(fēng)險。但這些對策表明了可以在哪些方面通過(guò)進(jìn)一步研究及研究人員、電信公司、監管機構及應急人員之間的合作取得突破。
比如,可以讓手機運行監測軟件,以防止其欺詐性呼叫911.或者,911系統可以檢查來(lái)電的識別信息,并且優(yōu)先考慮來(lái)自不試圖隱藏自己的電話(huà)的呼叫。在此也希望有關(guān)專(zhuān)家能盡快找到保護911系統的方法,因為911可是肩負著(zhù)保護所有美國人的使命。
